Godine 1996. američki Kongres usvojio je Zakon o prenosivosti i odgovornosti za zdravstveno osiguranje - HIPAA - kojim se regulira način na koji institucije zdravstvene skrbi objavljuju medicinske podatke o pacijentima. Ministarstvo zdravstva i socijalne skrbi prati kako se medicinske organizacije pridržavaju zakona. Revizori koriste kontrolni popis za testiranje procesa bilježenja medicinskih podataka.
Analiza i procjena rizika
HIPAA zahtijeva da sve medicinske organizacije - posebno ustanove koje su uključene u prikupljanje, čuvanje i prijenos medicinskih informacija - provode periodične analize rizika i procjene. Revizor koji preispituje HIPAA usklađenost osigurava da sve poslovne jedinice nadziru rizike koji mogu uzrokovati gubitak poduzeća zbog povrede podataka. Analiza rizika identificira korporativna područja koja predstavljaju glavne operativne prijetnje za usklađenost s HIPAA sigurnosnom politikom. Procjena rizika određuje opseg gubitaka koje neka ustanova može pretrpjeti u slučaju napada na unutarnje ili vanjske korisnike.
Analiza nedostataka
U HIPAA terminologiji, analiza praznina odnosi se na postupke potrebne za mapiranje sigurnosnih zahtjeva na postojeću sigurnosnu infrastrukturu medicinske organizacije. Drugim riječima, revizori analiziraju regulatorne smjernice i uspoređuju ih s korporativnim sigurnosnim sustavima, provjeravajući poštuju li se ti sustavi. Analiza nedostataka slijedi četiri koraka: identifikaciju jaza, utvrđivanje aktivnosti sanacije, određivanje prioriteta projekata i raspodjelu resursa. Nakon utvrđivanja sigurnosnih slabosti, revizori osiguravaju da voditelji odjela imaju rješenja za ublažavanje. Nakon toga recenzenti osiguravaju da šefovi sektora dodijele dovoljno sredstava projektima ublažavanja.
sanacija
Sanacija je važna stavka na revizijskom popisu za HIPAA. Revizori se oslanjaju na smjernice HHS-a kako bi osigurali da organizacija ima odgovarajuće resurse za otklanjanje potencijalnih kršenja sigurnosti. Najsuvremeniji tehnološki alati sastavni su dio postupaka sanacije. Ti alati uključuju softver za upravljanje odnosima s klijentima, aplikacije za planiranje resursa poduzeća, softver za re-inženjering procesa i softver za praćenje nedostataka. Ostali alati koji se koriste za otklanjanje potencijalnih sigurnosnih prijetnji uključuju softver za kategorizaciju ili klasifikaciju, softver za kalendar i raspoređivanje, programe za upravljanje odnosima s pacijentima i softver za upravljanje projektima.
Planiranje nepredviđenih događaja
Tvrtke sudjeluju u planiranju za slučaj nepredviđenih okolnosti kako bi osigurale da korporativne aktivnosti ne budu zaustavljene u slučaju nužde, nesreće ili drugih poremećaja u poslovanju. Kako bi se spriječili značajni gubici koji mogu nastati zbog zastoja u poslovanju, tvrtke izrađuju planove za nepredviđene situacije, također poznate kao planove kontinuiteta poslovanja. HIPAA revizori provjeravaju planove kontinuiteta poslovanja medicinske organizacije kako bi osigurali da planovi rješavaju važna operativna pitanja koja se mogu pojaviti u hitnim slučajevima. Naime, revizori provjeravaju kako bi tvrtke mogle obnoviti operacije na alternativnoj lokaciji i obnoviti operacije korištenjem alternativne opreme, u slučaju katastrofe.
Politika osoblja
HIPAA revizori prosijati kroz korporativne politike ljudskih resursa kako bi se osiguralo da osoblje održavanje medicinske evidencije posjeduju tehničko znanje i odgovarajuće vještine za posao. To osoblje uključuje tehničare zdravstvene dokumentacije, medicinske dokumente i stručnjake za zdravstvene informacije, službenike za medicinske podatke i kodere, prema O * Net Online, Odsjeku za istraživanje rada američkog Odjela za rad.
